La clase X509Chain
fue diseñada para hacer esto, incluso puede personalizar cómo realiza el proceso de construcción de cadena.
static bool VerifyCertificate(byte[] primaryCertificate, IEnumerable<byte[]> additionalCertificates)
{
var chain = new X509Chain();
foreach (var cert in additionalCertificates.Select(x => new X509Certificate2(x)))
{
chain.ChainPolicy.ExtraStore.Add(cert);
}
// You can alter how the chain is built/validated.
chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.IgnoreWrongUsage;
// Do the validation.
var primaryCert = new X509Certificate2(primaryCertificate);
return chain.Build(primaryCert);
}
El X509Chain
contendrá información adicional sobre el fallo de validación después de Build() == false
si lo necesita.
Editar: Esto simplemente se asegurará de que sus CA sean válidas. Si desea asegurarse de que la cadena sea idéntica, puede verificar manualmente las huellas dactilares. Se puede utilizar el siguiente método para asegurarse de que la cadena de certificación es correcta, se espera que la cadena en el orden: ..., INTERMEDIATE2, INTERMEDIATE1 (Signer of INTERMEDIATE2), CA (Signer of INTERMEDIATE1)
static bool VerifyCertificate(byte[] primaryCertificate, IEnumerable<byte[]> additionalCertificates)
{
var chain = new X509Chain();
foreach (var cert in additionalCertificates.Select(x => new X509Certificate2(x)))
{
chain.ChainPolicy.ExtraStore.Add(cert);
}
// You can alter how the chain is built/validated.
chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.IgnoreWrongUsage;
// Do the preliminary validation.
var primaryCert = new X509Certificate2(primaryCertificate);
if (!chain.Build(primaryCert))
return false;
// Make sure we have the same number of elements.
if (chain.ChainElements.Count != chain.ChainPolicy.ExtraStore.Count + 1)
return false;
// Make sure all the thumbprints of the CAs match up.
// The first one should be 'primaryCert', leading up to the root CA.
for (var i = 1; i < chain.ChainElements.Count; i++)
{
if (chain.ChainElements[i].Certificate.Thumbprint != chain.ChainPolicy.ExtraStore[i - 1].Thumbprint)
return false;
}
return true;
}
Soy incapaz de probar esto porque no tengo una cadena completa CA conmigo , por lo que sería mejor depurar y recorrer el código.
¿cómo puedo verificar 3 a la vez? ¿Cómo puedo encadenar los 3 certs? – Jacob
No estoy seguro, pero intente crear el almacén temporal [X509Store] (http://msdn.microsoft.com/en-us/library/system.security.cryptography.x509certificates.x509store.aspx). Luego agregue todos los certificados en esa tienda. Después de esto, debe llamar validar en el certificado más bajo. – MichaelMocko